W97M.Downloader

W97M.Downloader är ett dedikerat hot mot skadlig programvara som cyberbrottslingar använder som en leveransmekanism för nyttolaster i sent skede. Hotet sprids via spam-e-postkampanjer med förgiftade specialgjorda Microsoft Word-dokument. När användare försöker öppna filen utlöser de ett skadat makro som upprättar en anslutning till flera fjärrservrar. Målet är att hämta nyttolasten i nästa steg. Enligt resultaten från cybersäkerhetsforskare har W97M.Downloader använts för att leverera ransomware-hot, såsom TeslaCrypt , såväl som banktrojaner inklusive Vawtrak och Dridex .

I senare operationer etablerade cyberkriminella ytterligare infektionsvektorer för W97M.Downloader. Mer specifikt distribuerades skadlig programvara via komprometterade webbplatser med en anpassad PHP-droppare. De korrupta webbplatserna lockade offer att ladda ner och sedan köra ett komprometterat dokument med W97M inuti. Vissa VB-skript (Visual Basic) säkerställer att lämpligt hot mot skadlig programvara levereras till den komprometterade enheten från kontrollservrarna.

Utöver sina droppfunktioner kan W97M.Downloader infektera Chrome- och Firefox-processer för att injicera specifik skadad kod på webbsidorna som öppnas av målet. Angriparna kan också använda skadlig programvara för att samla in känslig data, såsom kontouppgifter för finans- och bankapplikationer. All inhämtad information exfiltreras sedan till operationens Command-and-Control-servrar.